book

Risposta agli incidenti basata sull'intelligence, 2a edizione

by Rebekah Brown, Scott J. Roberts

April 2025

Intermediate to advanced

346 pages

11h 31m

Italian

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Perché abbiamo scritto questo libroPer chi è questo libroCome è organizzato questo libroConvenzioni utilizzate in questo libroFormazione online O'ReillyCome contattarciRingraziamenti
L'intelligence come parte della risposta agli incidentiStoria dell'intelligence sulle minacce informaticheL'intelligence moderna sulle minacce informaticheLa strada da percorrereLa risposta agli incidenti come parte dell'intelligenceCos'è la risposta agli incidenti guidata dall'intelligence?Perché una risposta agli incidenti basata sull'intelligence?Operazione SMNSolarWindsConclusione
Intelligenza e ricercaDati contro intelligenzaFonti e metodiModelliUtilizzo di modelli per la collaborazioneModelli di processoUtilizzare il ciclo dell'intelligenzaLe qualità di una buona intelligenzaMetodo di raccoltaData di raccoltaContestoAffrontare i pregiudizi nell'analisiLivelli di intelligenzaIntelligenza tatticaIntelligenza operativaIntelligenza strategicaLivelli di fiduciaConclusione
Ciclo incidente-rispostaPreparazioneIdentificazioneContenimentoEradicazioneRecuperoLezioni appreseLa catena di morteTargetingRicognizioneArmonizzazioneConsegnaSfruttamentoInstallazioneComando e controlloAzioni relative all'obiettivoEsempio di catena di morteIl Modello DiamanteModello baseEstensione del modelloATT&CK e D3FENDATT&CKD3FENDDifesa attivaRifiutaDisruptDegradareIngannareDistruggereF3EADTrovaRiparareFinituraSfruttaAnalizzaDiffondereUtilizzo di F3EADScegliere il modello giustoScenario: Road RunnerConclusione
Obiettivo centrato sull'attoreIniziare con le informazioni conosciuteInformazioni utili durante la fase di ricercaUsare la Catena della MorteObiettiviTargeting incentrato sulla vittimaUsare il targeting incentrato sulla vittimaTargeting centrato sugli assetUsare il targeting centrato sugli assetObiettivo centrato sulle capacitàUsare il targeting incentrato sulle capacitàTargeting incentrato sui mediaTargeting basato su notifiche di terze partiDefinizione delle prioritàBisogni immediatiIncidenti passatiCriticitàOrganizzazione delle attività di targetingContatti difficili da gestirePiombi morbidiRaggruppare i lead correlatiConservazione e documentazione del piomboIl processo di richiesta di informazioniConclusione
Rilevamento delle intrusioniAvvisi di reteAvviso di sistemaRiparare Road RunnerIndagine sulle intrusioniAnalisi della reteRisposta in direttaAnalisi della memoriaAnalisi del discoRilevamento e risposta aziendaleAnalisi del malwareScopingCacciaSviluppare ipotesiVerifica delle ipotesiConclusione

Finire non significa tornare indietroFasi di finituraMitigareRimedioRicercatoreAgendoRifiutaDisruptDegradareIngannareDistruggereOrganizzare i dati degli incidentiStrumenti per il monitoraggio delle azioniStrumenti costruiti ad hocValutare i danniCiclo di vita del monitoraggioCreazioneTestDistribuzioneRaffinatezzaPensionamentoConclusione
I cicli OODA tattici e strategiciCosa sfruttareRaccolta di informazioniObiettivi della raccolta di informazioniEstrazione mineraria Incidenti precedentiRaccogliere informazioni esterne (o condurre un'analisi della letteratura)Estrazione e conservazione dei dati sulle minacceStandard per l'archiviazione dei dati sulle minacceStandard e formati dei dati per gli indicatoriStandard e formati dei dati per le informazioni strategicheProcesso di estrazioneGestione delle informazioniPiattaforme di intelligence delle minacceConclusione
I fondamenti dell'analisiPensiero a doppio processoRagionamento deduttivo, induttivo e abduttivoProcessi e metodi analiticiTecniche analitiche strutturate (SAT)Analisi centrata sull'obiettivoConduzione dell'analisiCosa analizzareArricchire i tuoi datiSfrutta la condivisione delle informazioniSviluppare l'ipotesiValutare le ipotesi chiaveCose che ti rovinano (alias pregiudizi analitici)Contabilizzazione dei pregiudiziGiudizio e conclusioniConclusione
Obiettivi dei clienti dell'intelligencePubblicoClienti leader esecutiviClienti tecnici interniClienti tecnici esterniSviluppare le personalità dei clientiAutoriAzioneIl processo di scritturaPianoBozzaModificaFormati dei prodotti di intelligenceProdotti in formato ridottoProdotti Long-FormIl processo RFIProdotti a consumo automaticoStabilire un ritmoDistribuzioneFeedbackProdotti regolariConclusione
Che cos'è l'intelligence strategica?Il ruolo dell'intelligence strategica nella risposta agli incidenti guidata dall'intelligenceL'intelligence oltre la risposta agli incidentiRed TeamingGestione delle vulnerabilitàArchitettura e ingegneriaPrivacy, sicurezza e protezione fisicaCostruire una struttura con l'intelligence strategicaModelli per l'intelligence strategicaIl ciclo dell'intelligence strategicaDefinizione dei requisiti strategiciCollezioneAnalisiDiffusioneVerso l'intelligenza anticipatoriaConclusione
Sei pronto?Pianificazione del programmaDefinizione degli stakeholderDefinire gli obiettiviDefinire i criteri di successoIdentificare i requisiti e i vincoliPensa in modo strategicoDefinire le metrichePersonaggi degli stakeholderCasi d'uso tatticiSupporto SOCGestione degli indicatoriCasi d'uso operativiTracciamento della campagnaCasi d'uso strategiciSupporto all'architetturaValutazione del rischio/consapevolezza strategica della situazioneDa strategico a tattico o da tattico a strategico?Esigenze informative criticheIl team di intelligenceCostruire un team eterogeneoSviluppo di team e processiDimostrare il valore del programma di intelligenceConclusione

Content preview from Risposta agli incidenti basata sull'intelligence, 2a edizione

Capitolo 5. Fissare

Questo lavoro è stato tradotto utilizzando l'AI. Siamo lieti di ricevere il tuo feedback e i tuoi commenti: translation-feedback@oreilly.com

Non interrompere mai il tuo nemico quando sta commettendo un errore.

Napoleone Bonaparte

Non raccogliamo intelligence solo per il gusto di averla. L'intelligence ha lo scopo di rendere possibili le azioni, sia che si tratti di pianificazione strategica sia che si tratti di fornire supporto al processo di risposta agli incidenti. L'intelligence può e deve supportare la risposta agli incidenti in alcuni modi fondamentali:

Rilevamento: Fornire punti di partenza migliori creando criteri di allerta migliorati.
Arricchimento: Contestualizzare le informazioni identificate nel processo di risposta.
Consapevolezza della situazione: Capire gli aggressori, le metodologie e le tattiche

Il processo di utilizzo di dati di intelligence o di minacce precedentemente identificati per identificare la posizione di un avversario, sia nel tuo ambiente che all'esterno, si chiama Fix. Nella fase Fix della F3EAD, tutte le informazioni raccolte nella fase Find vengono messe al lavoro per rintracciare i segni dell'attività dell'avversario sulle tue reti. Questo capitolo illustra tre modi per rintracciare la posizione dell'attività avversaria: l'uso di indicatori di compromesso, di indicatori comportamentali dell'avversario (noti anche come TTP) e di obiettivi dell'avversario.

Questo capitolo è stato difficile da scrivere, dato che su molti degli ...